По данным отчетов компаний по безопасности PeckShield и Coinsult, опубликованных 29 мая, хакеры вывели около $7.3 million из более чем 1,400 устаревших позиций провайдеров ликвидности (LP), заблокированных в старых смарт-контрактах DxSale в сети BNB Chain. В отличие от многих недавних взломов в сфере DeFi, вызванных ошибками в коде, эта атака была осуществлена за счет скрытой, но критически важной передачи прав владения. Это позволило злоумышленникам обойти стандартные проверки безопасности и напрямую вывести средства.
Пострадавшие контракты были частью старой инфраструктуры локеров DxSale, которую многие провайдеры ликвидности использовали для блокировки токенов под фарминг или вестинг. Эти хранилища, изначально созданные для предотвращения преждевременного вывода средств, оказались уязвимы, когда права управления были незаметно переданы на адреса, контролируемые злоумышленником. Подобный метод обходит сложные технические уязвимости кода, обнажая риски управления в устаревших протоколах, создатели которых не предусмотрели возможность смены владельца после развертывания контракта.
Анализ инцидента указывает на злоупотребление правами владельца, а не на технический сбой в логике смарт-контракта. Злоумышленник методично опустошил тысячи пулов LP-токенов в экосистеме BNB Chain, что может временно снизить ликвидность некоторых проектов, зависящих от этих заблокированных активов. Хотя потеря $7.3 million составляет лишь малую часть от общего объема заблокированных средств (TVL) в BNB Chain, масштаб атаки, охватившей более 1,400 пулов, привлекает внимание к скрытым угрозам в устаревших методах управления контрактами.
Устаревшие контракты локеров DxSale не проходили столь же тщательного аудита, как их более новые версии, а скрытая передача прав владения не была публично раскрыта или обнаружена заранее. Этот инцидент подчеркивает важность постоянной прозрачности управления правами доступа, особенно для протоколов, которые хранят средства пользователей в течение длительного времени.
На данный момент влияние на рынок выглядит умеренным, а цена BNB остается стабильной. Тем не менее, произошедшее несет репутационные риски для проектов, связанных с этими локерами, и может снизить доверие пользователей к блокировке средств в старых смарт-контрактах. DxSale и партнерские проекты пока не представили официального ответа или плана по восстановлению, из-за чего инвесторы остаются в неведении относительно возможных компенсаций или обновлений контрактов.
Следите за официальными обновлениями от DxSale касательно масштабов компрометации и мер по устранению последствий. Трейдерам также следует отслеживать изменения ликвидности LP-токенов и тщательно оценивать риски перед взаимодействием с экосистемами устаревших контрактов на BNB Chain. Данный случай служит суровым напоминанием: владение контрактом – это не просто строчка кода, а важнейшая граница безопасности.
Хакеры вывели $7.3M из более 1400 локеров DxSale на BNB Chain
Злоумышленник вывел $7.3 million из более чем 1,400 старых локеров ликвидности DxSale на BNB Chain с помощью скрытой передачи прав владения. Эксперты по безопасности отмечают растущие риски компрометации административных функций в устаревших смарт-контрактах.